본문 바로가기
보안 이야기

[보안이야기#12]정보보안 직무-보안장비 운영(2)

by 제로썬 2023. 4. 12.

안녕하세요 보안코치 제로썬이에요 :)

 

보안장비 운영(1)에서는 영역별 및 보안장비 솔루션 종류, 3대 요소, 보안솔루션 도입부터 운영까지에 절차  등에 대해서 알아봤어요~!!(못 보신 분들은 아래 링크로 보고 와주세요^^)

https://zerotrust.tistory.com/36

[보안이야기#11]정보보안 직무-보안장비 운영(1)

안녕하세요 보안코치 제로썬이에요 :) 침해대응(2)에서는 CERT 정의 및 목적, 일반 보안사고, 중대 보안사고, CERT 구성원이 갖춰야 할 능력 등에 대해서 알아봤어요~!!(못 보신 분들은 아래 링크로

zerotrust.tistory.com

 

보안장비 운영(2)에서는 보안장비 운영 담당자를 조금 더 다뤄 보려고 하는데요.

보안장비 운영 담당이지만 역할&책임(R&R)에 따라 다른 업무도 할 수도 있겠지만 저는 보안장비 운영에 대한 내용만 이야기 해볼게요.

 

보안장비 운영 업무

자~~ 그러면 보안장비 운영 담당자는 어떤 업무를 하는지 보도록 할게요

보안장비 특성에 따라 다르겠지만 공통적으로 이야기 해보자면...

1. 보안정책 설정

2. 대시보드(모니터링)

3. 로그 확인

4. 정책 및 설정파일 백업/복구(주기적, 상시적)

5. 버그 및 개선사항 요청, 기록

6. 장애발생 시 상황공유 및 조치

7. 시스템 또는 보안정책(벤더) 업데이트

8. 운영, 장애 대응/복구 매뉴얼 작성(업데이트에 따른 최신화 유지)

9. 보안장비 점검(주기적 or 상시적) 

   - 유지보수 업체 계약 또는 자체 보안장비 점검 및 유지보수

 

보안시스템 운영
보안시스템 운영

보호대상에 따라 보안장비가 선정되어 구축하여 운영을 하게 되는데요.

예를 들어서 기업 내에서 사용되는 방화벽을 운영한다고 해보죠.

방화벽은 1대로 단일로 운영할 수 있고 아니면 방화벽 2대로 이중화하여 고가용성을 보장할 수 있습니다.

고가용성을 보장이 필요할 경우에는 기업 내에서 서비스를 제공하는 서버가 있을 경우 서비스 따라 트래픽 량이 높아질 경우 방화벽 1대로 처리하는것보다 2대로 트래픽을 처리하는게 더욱 안정적인 서비스를 제공 해줄 수 있겠죠.

사실 방화벽 1대로 대역폭이 크고 처리능력이 좋은 퍼포먼스를 발휘된다면 1대로 운영해도 문제는 되진 않겠지만 만약 방화벽 1대가 문제가 생겼을 땐 어떻게 될까요?? 당연히 서비스 영향이 가질 수 밖에 없는데요.

이때 필요한게 이중화 구성하여 고가용성을 보장하는게 더 안정적인 서비스를 제공할 수 있는 것이죠. 즉 보안 솔루션이 1대로 운영할때 장애, 문제가 발생할 경우 대처할 수 있는지? 대안이 있는지에 대해서 고려 해봐야 합니다.

해당 이슈사항에 대해서 보고를 해도 기업에서 투자할 마음도 없고, 인식이 부족하다면 문제가 발생했을텐 답이 없죠....

결국 장비의 처리능력 즉 포퍼먼스 문제를 가지고 있기 때문에 어떻게 대처할 수 있는 장비가 있는지 등 고려하게 됩니다.

 

보안장비는 구축 이후 안정화 될 수 있도록 모니터링하는 기간을 가지고 장애, 이슈 등에 대한 문제가 발생되지 않는지 확인해요.

보안 시스템 안정화 이후 보안장비 정책 수립하고 적용하는 프로세스를 만들고, 체계적으로 운영 및 관리하게 됩니다.

적용된 정책을 모니터링 및 분석을 통해 정책에 대한 개선, 고도화를 합니다.

네트워크 영역 보안 시스템일 경우 보안장비 구성 방식(인라인, 미러, 프록시, 아웃오브패스)에 대한 이해를 해야하고 기본적으로 모든 시스템은 네트워크로 연결되어 있기 때문에 네트워크에 대한 기본지식이 필요하죠.

 

예를 들어서 침입탐지시스템(IDS)에 대한 정책 수립부터 적용까지 과정을 보도록 할게요

1. 정책 수립

2. 정책 검토

3. 정책 적용(IDS)

4. 탐지 로그 분석

5. 정책 최적화

6. 정책 재적용

 

정책 관련된 것은 침해사고 대응(CERT)에서 하는게 아닌가라고 생각할 텐데요?!   

맞습니다!

틀린 말이 아닙니다!!(뭐지?!!)

침해사고 대응에서 예방활동으로 정책 수립하는 것도 맞아요~ 

만약 침해사고 대응팀 있을 경우 정책을 만들어 주면 보안장비 운영에서 해당 정책을 받아서 적용해주는 프로세스가 있기도 합니다.

그런데 만약 침해사고 대응팀이 없다면요??

결국 보안장비를 운영하는 사람은 벤더(제조사)정책만 이용하거나 자체 정책를 수립하고 적용하는 차이가 있겠죠.(IDS 기준으로 말씀 드린 거에요)

보안장비의 하드웨어(자원), 소프트웨어(기능), 정책(운영 등)도 중요합니다.

무엇보다 이러한 보안 시스템을 운영하는 사람의 역량, 이해, 전문성 등을 가진 전문가가 필요한 것이죠.

 
오늘도 글을 읽어 주셔서 감사해요!
 
좋은 하루 되세요~!
 
 

댓글